Guías legales

Últimas resoluciones con sanciones en materia de protección de datos

Consigue tu Abogado especialista en Protección de datos

Solicita ahora tus presupuestos gratis

Acepto las condiciones del servicio y la política de privacidad

3 simples pasos

1. Rellena el formulario

El equipo de LexGoApp se pondrá en contacto contigo lo antes posible.

2. Recibe 3 presupuestos

Te conseguimos presupuestos gratis de los abogados especialistas en Protección de datos

3. Tú eliges el abogado

Compara los presupuestos y elige el abogado que más se ajuste a tus necesidades.

Últimas resoluciones con sanciones en materia de protección de datos

Aunque el Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) lleva tiempo en vigor, todavía existen muchas empresas y organizaciones que no han adaptado su operativa. Esto implica la posibilidad de ser objeto de importantes sanciones.

De hecho, vamos a ver algunas resoluciones sancionadoras en materia de protección de datos que nos pueden dar una idea de las consecuencias reales de incumplir con esta normativa. Tras leer este artículo conocerás el régimen sancionador del RGPD y comprobarás cómo está gestionando las denuncias la AEPD.

El régimen sancionado en el Reglamento General de Protección de Datos

El RGPD incluye un apartado en el que trata específicamente el régimen de infracciones y sanciones. De no ser así correría el riesgo de quedar en una mera declaración política.

Pero la intención de la Unión Europea al aprobar el Reglamento no era realizar una manifestación de intenciones, sino establecer una normativa aplicable y exigible en materia de protección de datos de carácter personal.

Las infracciones en el RGPD

El RGPD establece un sistema de sanciones administrativas, que pueden imponerse cuando se incumpla la normativa en materia de protección de datos. A la hora de determinar el régimen sancionador, el RGPD establece dos grupos de infracciones.

El primer grupo es el que recibe sanciones de menor cuantía. Se trata del incumplimiento de:

Obligaciones del responsable y del encargado a tenor de los siguientes artículos del RGPD:

8. Condiciones del consentimiento de los niños.

11. Tratamiento que no requiere identificación.

25 a 39. Protección de datos desde el diseño y reglas relativas a los responsables y corresponsables de tratamiento, al encargado, al delegado, al registro de actividades de tratamiento, a la cooperación con la autoridad de control y a la seguridad de los datos personales.

42 y 43. Certificación.

Obligaciones de organismos de certificación, a tenor de los ya mencionados artículos 42 y 43.

Obligaciones de la autoridad de control, a tenor del artículo 41.4

El segundo grupo de infracciones recibe sanciones de mayor cuantía e incluye infracciones de:

Principios básicos del tratamiento (artículos 5, 6, 7 y 9).

Derechos de los interesados (artículos 12 al 22).

Transferencia de datos a destinatarios en terceros países u organizaciones internacionales (artículos 44 a 49).

Otras obligaciones, conforme a la legislación de Estados miembros y órdenes o solicitudes de la autoridad de control o el interesado.

Las sanciones en el RGPD

Para garantizar el respeto al Reglamento, la Unión Europea asoció a sus infracciones un régimen sancionador considerablemente riguroso. En ocasiones podría calificarse incluso de ejemplar.

Así, el primer grupo de infracciones se sanciona con multas de hasta 10.000.000 de euros. En el caso de empresas se puede imponer una sanción de hasta el 2 % de su volumen anual de negocios, optándose por la cifra de mayor cuantía.

Por su parte, las sanciones aplicables al segundo grupo de infracciones pueden llegar al doble de las cuantías anteriores. Es decir, la mayor cuantía entre 20.000.000 de euros y el 4 % del volumen de negocio de la empresa.

El derecho a indemnizaciones

Además de regular un régimen sancionador, el RGPD recoge en su artículo 82 el derecho de toda persona que haya sufrido daños a recibir una indemnización. Los daños pueden ser personales o materiales y deben tener su origen en un incumplimiento del propio RGPD.

En estos casos, el responsable o el encargado de tratamiento deberán indemnizar la lesión, salvo que acrediten que no son responsables de los daños o perjuicios.

Resoluciones sancionadoras en materia de protección de datos

Una de las primeras resoluciones sancionadoras (PS/00331/2018) se impuso a la empresa Vodafone por introducir a un cliente en un fichero de morosos pese a que se había impugnado la deuda. En este caso se trató de una sanción de 5.000 euros.

Más grave fue la sanción que esta misma compañía asumió por enviar SMS sistemáticamente a una persona que había ejercitado el derecho de oposición (PS/00411/2018). En este caso la multa ascendió a 45.000 euros, incluyéndose una indemnización.

Más reciente es la RS/00074/2019, que sancionó a Endesa con 100.000 euros por cambiar de nombre un contrato de suministro, revelando el domicilio del cliente original.

Podemos encontrar otra sanción reciente en el PS/00267/2019, donde la Cerrajería Carlos Rodríguez, S.L. no incluyó en su sitio web información precisa sobre el tratamiento de datos, conforme a la normativa presente. En este caso, la sanción acordada fue de 1.500 euros.

Y más elevada fue la sanción impuesta a SHOP MACOYN, S.L. en el PS/00320/2019, que alcanzó los 5.000 euros por remitir un correo electrónico con direcciones de otras personas fuera de la copia de carbón oculta.

Resoluciones de apercibimiento en materia de protección de datos

En el PS/00524/2019 encontramos otro tipo de resolución. En este caso, DIS TYVOLI, S.L. había cerrado una venta con su cliente, sin ofrecerle en el contrato de compraventa la posibilidad de denegar el tratamiento de sus datos personales (pese a que le avisaba de sus derechos). En consecuencia, la AEPD le apercibió para que cumpliera con las obligaciones de toma de consentimiento del RGPD e informara del cumplimiento.

Este tipo de apercibimiento quedan registrados. Por tanto, cuando se reciben pero no se atienden, el afectado puede ser sancionado e incluso agravar la sanción correspondiente.

Otro ejemplo de resolución sancionadora de apercibimiento lo tenemos en el PS/00038/2019, donde HOFMANN, S.L.U. había enviado a un tercero un álbum con fotos de la reclamante y, ante las quejas de esta, le proporcionó el contacto de quien recibió el album.

Recogemos un último ejemplo de sanción de apercibimiento, donde la AEPD requirió a LOS NIÑOS DE MONTESSORI, S.L. para que introdujera un banner o link a su política de privacidad en su página web (PS/00213/2019).

Conclusión: la naturaleza de las sanciones del RGPD y cómo evitar ser objeto de estas resoluciones

En definitiva, algunas resoluciones con sanciones en materia de protección de datos pueden incluir un apercibimiento, lo cual no presenta mayor complicación que el cumplimiento de la orden de la AEPD. Pero descuidos como no emplear la copia de carbón oculta en el reenvío de e-mails o no actualizar la política de privacidad de la página web pueden acarrear sanciones de varios miles de euros.

Por tanto, el cumplimiento del RGPD es un elemento importante para cualquier empresa. Y para ello se pueden contratar los servicios de consultores o expertos en compliance y protección de datos, cuyos honorarios compensarán con creces los riesgos a los que se expone la organización por no cumplir con el “nuevo” reglamento.